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(57) Abstract 

The invention concerns a device 
for secure access to a chip card (100) 
applications comprising instructions con- 
stantly providing information on rights, 
substantially concerning access to the 
chip card storage unit, of a software com- 
ponent or a hardware intervention exe- 
cuted in the chip card, wherein a reg- 
ister (R) of the chip card microproces- 
sor (200) stores, for each new software 
component or hardware intervention oc- 
currence, a specific code enabling to con- 
trol the authorised nature of access to the 
chip card storage unit carried out by the 
new software component of hardware in- 
tervention. 
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L* invention concerne un dispositif 
d'acces se'curise* a des applications d'une 
carte a puce (100) faisant intervenir des 
instructions informant a chaque instant 
sur les droits, essentiellement en terme 

d'acces a la memoire de la carte a puce, d'une composante logicielle ou d'une intervention materielle executee dans la carte a puce, dans 
lequel un registre (R) du microprocesseur (200) de la carte a puce memorise, a chaque nouvelle composante logicielle ou intervention 
mateYielle intervenant, un code specifique permettant de contrdler le caractere autoris6 des acc&s a la mdmoire de la carte a puce effectuees 
par la nouvelle composante logicielle ou intervention mat6rielle. 
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DISPOSITIF D'ACCES SECURISE A DES APPLICATIONS D 1 UNE 

CARTE A PUCE 



La presente invention se rapporte a un dispositif 
5 d'acces securise a des applications d'une carte a puce* 

Plus particulierement, l 1 invention concerne un 
dispositif d'acces securise a des applications d 1 une 
carte a puce faisant intervenir notamment des 
instructions, informant a chaque instant sur les 
10 droits, essentielleraent en terme d'acces a la memoire 
de la carte a puce, de la composante logicielle ou de 
1 1 intervention materielle qui est executee dans la 
carte a puce. 

Les cartes a puce les plus courantes comprennent un 

15 microprocesseur qui gere une memoire programme. La 
memoire programme est le plus souvent dediee a une 
unique application ou a un ensemble d 1 applications 
chargees en meme temps dans la carte a puce, Lorsque 
plusieurs applications sont chargees dans une carte a 

20 puce, elles presentent une relation etroite entre elles 
et sont toutes destinees a un meme type de service. 
Ainsi, par exemple, une carte a puce ne peut pas 
simultanement jouer le role de carte bancaire et le 
role de carte de fidelite pour un quelconque commerce. 

25 Afin de ne plus etre limite a un unique type 

d 1 application par carte a puce, de nouvelles 
architectures logicielles sont envisagees. Ces 
nouvelles architectures logicielles exploitent le 
developpement de langages de programmation standardises 

3 0 (par exemple, le langage "JAVA") qui resolvent les 
problemes de portability. 

La figure 1 est une representation simplifiee d'une 
architecture logicielle des pro jets de cartes a puce 
qui se developpent actuellement . L ' architecture 

3 5 representee a la figure 1 comprend notamment une 
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premiere partie 110 qui correspond a la partie dite 
systeme de 1 1 architecture logicielle d'une carte a puce 
100, et une deuxieme partie 12 0 qui correspond a la 
partie dite applicative de 1 • architecture logicielle de 
5 la carte a puce 100. La partie systeme 110 de la carte 
a puce est essentiellement composee d'une librairie de 
programmes 112 du systeme d 1 exploitation de la carte a 
puce, d'une interface 114 pour gerer les interactions 
avec, par exemple, le microprocesseur de la carte a 

10 puce ou bien avec les differentes memoires de la carte 
a puce, et d'un espace de gestion d' interruptions 
materielles 116. 

La partie applicative 120 de 1 ' architecture 
logicielle est composee de differentes applications : 

15 - une premiere, une deuxieme, et une troisieme 

applications principales, respectivement 122, 124 et 
126; 

- une premiere, une seconde et une troisieme 
applications supplementaires , respectivement 121, 123 
20 et 125. 

Les applications principales 122, 124 et 126 sont 
£crites dans un langage de programmation directement 
comprehensible par le processeur de la carte a puce. 

Les applications supplementaires 121, 123 et 125 

25 sont typiquement des applications codees dans un 
langage standardise. Ces applications peuvent etre 
ajoutees a n ' importe quel instant, a la partie systeme 
110, dans la partie applicative 120 de 1 ' architecture 
logicielle decrite. A la figure 1, les applications 

30 supplementaires 121, 123 et 125 dependent directement 
de la premiere application principale 122. La premiere 
application principale 122 sert ici d ' interpreteur 
entre les applications supplementaires et le systeme 
d 1 exploitation en transformant les codes des 

35 applications supplementaires en un langage machine 
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comprehensible par les programmes du systeme 
d ' exploitation 112 . 

Le dispositif d'acces securise a des applications 
d'une carte a puce selon 1 ' invention intervient dans 
5 une architecture de ce type. 

1* • architecture logicielle qui vient d'etre decrite 
est plus complexe que celle qui existe actuellement 
dans les cartes a puce en circulation. En effet, 
1 1 architecture decrite suppose que l'on peut a j outer 

10 des applications dans un langage de programmation 
standardise, eventuellement apres la raise en 
circulation de la carte a puce. Un niveau satisfaisant 
de securite est par consequent plus complexe a 
atteindre que lorsgu'une unique application, ou un 

15 groupe d • applications dediees a une unique fonction de 
la carte a puce, etait chargee une fois pour toutes 
dans la carte a puce def initivement limitee en terme 
d 1 applications disponibles. Le risque qu'une nouvelle 
application vienne perturber le fonctionnement des 

20 precedentes applications est en consequence moins 
eleve. 

La coexistence d 1 applications de natures diverses 
dans une meme carte a puce peut poser un certain nombre 
de problemes : par exemple, une architecture logicielle 
25 comprenant simultanement une application dediee a 
1" evaluation de la fidelite d'un client a une compagnie 
petroliere et une application bancaire classique, doit 
garantir qu'une clef secrete servant dans 1 1 application 
bancaire ne peut etre lue lors de 1 1 utilisation de 
30 1 • application associee a la compagnie petroliere. 

La presente invention a pour objet de pallier les 
problemes qui viennent d*etre deer its. 

A cet effet, 1 1 invention propose un dispositif 
permettant de gerer differentes applications 
35 logicielles mises en place eventuellement a differents 
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instants, ou differents evenements raateriels, d'une 
carte a puce, tout en assurant une grande securite. 
Ainsi le dispositif selon 1' invention off re la 
possibility de detecter lorsque 1 • utilisateur d'une 
5 application tente d • outre-passer ses droits, par 
exerople en tentant d'acceder a des donnees qui ne sont 
pas destinees a 1 ' application en question. 

Pour atteindre ces objectifs, 1 ' invention propose 
la mise en place d • instructions specif iques internes au 

10 microprocesseur de la carte a puce. Ces instructions 
specif iques sont des instructions d'appel (DCALL) et de 
retour (DRETURN) . Ces instructions d'appel et de retour 
sont associees selon 1 ' invention a des registres 
particuliers qui permettent de s' assurer du caractere 

15 autorise ou non des operations effectuees par 
1 'application en cours d' execution dans la carte a 
puce. 

L' invention concerne done un dispositif d'acces a 
des applications d'une carte a puce comprenant un 
20 microprocesseur associe a un systeme d ' exploitation 
fonctionnant avec un jeu d ■ instructions, une memoire de 
programmes et une batter ie d • applications dans une 
memoire de la carte a puce, caracterise en ce qu'il 
comprend 

25 ~ un registre du microprocesseur pour memoriser un 

code, sur plusieurs bits de controle, propre a une 
entite mise en jeu, 

- une instruction d'appel et une instruction de 
retour du jeu d • instructions pour mettre "a jour 

3 0 instantanement et automatiquement le registre lors de 
1 • intervention d'une nouvelle entite, 

- un dispositif de controle pour contr61er en 
fonction des bits de controle le caractere autorise de 
l'acces a des zones de la memoire de la carte a puce 
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par la nouvelle entite appelee ou intervenant dans la 
carte a puce, 

- une premiere liaison pour transmetire les bits de 
controle du microprocesseur vers le dispositif de 

5 controle. 

Selon une realisation particuliere du dispositif de 
1* invent ion, chaque nouvelle entite intervenant est 
activee S une adresse predefinie d'une memoire de type 
memoire ROM (Read Only Memory dans la litt€rature 
10 anglaise) de la carte a puce. 

Selon differents modes de realisation de 
1* invention, l 1 entite fonctionnant dans la carte a puce 
peut etre une application de la batterie d 1 applications 
ou un evenement materiel, ou encore le systeme 
15 d 1 exploitation associe au microprocesseur de la carte a 
puce. 

Les differents aspects et avantages de 1' invention 
apparaltront plus clairement dans la suite de la 
description en reference aux figures qui ne sont 
20 donnees qu'a titre indicatif et nullement limitatif de 
1 • invention et qui sont a present introduites : 

- la figure 1, deja decrite, est une representation 
simplifiee d'une architecture logicielle des pro jets de 
cartes a puce qui se developpent actuellement , 

25 - la figure 2 est une representation du principe de 

fonctionnement selon l 1 invention lors de l 1 execution 
d'une application au sein de la carte a puce. 

A la figure 2, un microprocesseur 2 00 d'une carte a 
puce 100 gere 1' ensemble des operations d • une ioatterie 

30 d 1 applications 210 de la carte a puce 100. 

Un bus bi-directionnel 250 assure 1 ' echange 
d • informations entre le microprocesseur 200 et une 
quelconque application de la batterie d 1 applications 
210. Les informations echangees peuvent etre des 

3 5 donnees, des adresses ou des instructions de commande. 
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Un controleur d'acces a la memoire 22 0 echange des 
informations avec le microprocesseur 200, notamment au 
moyen d'une liaison 230 qui vehicule un signal, dit 
signal de controle entre le microprocesseur 200 et le * 
5 controleur d'acces a la memoire 220. 

Par exemple, quand une entite telle que 
1 'application 211 requiert, au moyen du bus bi- 
directionnel 2 50, 1 1 intervention d'une autre entite 
telle qu'une application 212, elle execute une 

10 instruction d'appel DCALL suivie d'une designation de 
1' entite appelee. 

Selon l 1 invention, un registre R est mis a jour 
lors de tels appels. Un certain nombre de bits du 
registre R prennent alors une valeur associee a 

15 1' entite appelee par 1 ' instruction d'appel DCALL • Cette 
valeur s'apparente a une etiquette ou a un code 
specif ique au procede (process) associe a 1 • application 
et sera designee ci-apres « etiquette ». Le registre R 
est done un moyen materiel du microprocesseur 2 00 qui 

20 sert a memoriser un code propre a 1' entite de 
1 1 architecture logicielle qui est en train de 
s'executer, et a controler son domaine d' execution. 

Ainsi, 1 1 instruction DCALL permet d 1 entrer dans le 
futur procede a executer et d'affecter une etiquette 

25 qui sera inscrite dans le registre R. A titre 
d' exemple, le futur procede en cours peut etre l'acces 
a une memoire f igee (ROM) ou a une memoire vive (RAM) , 
ainsi que le traitement de codes ou de donnees .qui sont 
reportes dans differentes memoires. 

30 De plus, le dispositif selon 1' invention peut , 

egalement prendre en compte des instructions dites 
materielles, par exemple du type re-initialisation. Les 
instructions dites materielles sont des evenements qui 
peuvent survenir en temps reel sur une carte a puce et 

3 5 qui generent des interruptions dans les 
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microprocesseurs de ces cartes a puce. Ce "type 
d'evenement est gere par le dispositif selon 
1 ■ invention de la raeme f agon que les instructions 
logicielles : les bits du registre R prennent une 
5 valeur bien precise, appropriee a chaque evenement en 
temps reel intervenant sur les cartes a puce, limitant 
et controlant ainsi les droits de ces evenements. 

L 1 information fournie par le registre R est ainsi 
susceptible de controler une information, par exemple 

10 au microprocesseur ou a toute autre entite exterieure a 
l 1 architecture logicielle, relative a 1' identification 
de la zone de 1 • architecture logicielle concernee par 
1 'application en cours d 1 execution. 

L' information fournie par le registre R permet de 

15 controler la zone de la memoire de la carte a puce dans 
laquelle 1 1 application a le droit d • intervenir , c'est- 
a-dire 1 ■ espace memoire auquel elle peut acceder. A 
cette fin, une deuxieme etiquette est associee a chaque 
groupe de donnees en memoire ou a des emplacements de 

2 0 memoire. Ces deuxiemes etiquettes sont preetablies lors 

de la programmation de la memoire, Lorsqu'une 
instruction commande 1 1 utilisation de donnees en 
memoire, celles-ci sont lues avec la deuxieme etiquette 
associee. Ces donnees seront accessibles que s'il y a 
25 autorisation donnee par le module de controle. 

Ainsi, un eventuel utilisateur qui tente 
d'utiliser de fagon frauduleuse le systeme 
d* exploitation afin de recuperer des donnees d'une 
application particuliere , se voit refuser l'acces a ces 

3 0 donnees. En effet, les bits du registre d'etat sont, 

dans ce cas, differents des bits qui correspondraient a 
un appel DCALL de 1 1 application particuliere en 
question. Une confrontation entre les deuxiemes 
etiquettes correspondant aux donnees auxquelles on 
35 tente d 1 acceder et les bits du registre R (premiere 
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etiquette) , communiques par le microprocesseur au moyen 
de la liaison 230, est realisee dans le contrdleur 
d"acces a la memoire 22 0. Dans le cas oil les adresses 
de la memoire auxquelles on tente d'acceder ne sont pas 
5 des adresses appartenant au domaine autorise de la 
derniere application ayant effectue un appel de type 
DCALL - cette condition etant alors determinee a partir 
de la confrontation entre les etiquettes - une 
information d'acces illegal interdit l'acces a ces 

10 memoires. 

Le dispositif selon l 1 invention off re ainsi une 
grande securite dans le sens ou des donnees qui sont 
destinees a une application ne peuvent pas etre 
exploitees par une autre application. 

15 Un second registre CS permet de garder en memoire 

un code propre aux applications qui etaient actives au 
moment de la derniere instruction d 1 appel DCALL emise 
par 1 'application courante, c'est-a-dire celles qui 
sont a executer a la suite de 1 1 application courante . 

2 0 Le registre CS est destine a garder en memoire un 

code propre figurant dans le registre R de 
1 'application qui etait active lors de la derniere 
execution de 1 • instruction d'appel DCALL - Ce registre 
CS sert done de tampon (« buffer ») pour garder en 
25 memoire la premiere etiquette qui etait contenue dans 
le registre R du procede qui etait actif juste avant 
cette instruction DCALL. 

Lorsque 1 ' application courante a fj.ni de 
s» executer, une instruction de retour DRET est executee 

3 0 par le microprocesseur, et les donnees contenues dans 

le second registre CS permettent de retourner a 
1 ■ application qui s'executait precedemment et qui avait 
ete activee par un appel DCALL. Le registre R est 
egalement mis a jour. 
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Ainsi, lorsque 1 • on execute 1 ' instruction DRET, on 
recharge dans le registre R la valeur qui est dans le 
registre CS. 

Comme le montre la figure 2 , le registre CS est 
5 contenu dans le microprocesseur 2 00 et est relie 
directement au registre R de maniere a permettre 
Involution des donnees stockees telle que decrite. 

On notera que par souci de securite, 1 1 information 
memorisee dans le registre CS ne peut etre accedee que 
10 par le processeur lui-meme, et ce qu'au cours de 
1 1 execution des instructions DCALL et DRET. 

Cependant, il est possible, selon un mode de 
realisation optionnel de 1' invention, de permettre de 
modifier le contenu du registre R par au moins un 
15 evenement dit « materiel » ou en temps reel, qui peut 
agir directement et en temps reel sur le 
microprocesseur 200 pour appeler 1' execution d'un code. 
Ainsi un evenement commandant une action ou la mise en 
6veil, ou 1 'acquittement de donnees, etc., peut mettre 
20 a jour directement le registre R. 

Dans ce cas, 1 • evenement materiel va utiliser les 
registres R et/ou CS pour mettre en place un numero de 
procede. Cependant, le procede en question ne sera pas 
un procede appele par une instruction DCALL, ma is un 
25 procede « materiel ». Autrement dit, les instructions 
DCALL et DRET ne sont pas utilisees lors d'un tel 
evenement materiel, et on utilise uniquement les 
registres R et CS avec une action qui est deja pre- 
programmee dans le circuit et designee par son procede 
30 (par exemple par affectation d'un numero). 

On note que de telles instructions materielles 
sont en principe realisees par des logiques cSblees ou 
autres moyens materiels. 

Le second registre CS ne peut etre directement 
35 accede par les applications de la carte a puce afin de 
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gararrtir 1 1 integrite du dispositif lors de sa mise en 
oeuvre lors de 1 1 execution d'une instruction de retour 
DRET. 

Lorsque 1 1 application courante a fini de 
5 s'executer, les bits du registre R prennent une valeur 
specif ique a 1 'application qui s'executait 

precedemment, lui restituant ainsi ses droits et ses 
limitations en terme d'acces memoire. 

Le dispositif d'acces a des zones memoire, selon 
10 1' invention, permet d' assurer une grande securite en 
terme d'acces aux differentes zones de la memoire, pour 
une architecture logicielle telle que celle presentee a 
la figure 1. 
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REVENDICATIONS 

1. Dispositif d'acces a des applications d'une 
5 carte a puce (100) comprenant un microprocesseur (200) 
associ6 a un systeme d ' exploitation fonctionnant avec 
un jeu d 1 instructions, une memoire de programmes et une 
batterie d ' applications (210) dans une memoire de la 
carte a puce, caracterise en ce qu'il comprend 
10 - un registre (R) du microprocesseur pour memoriser 

un code, sur plusieurs bits de contrdle, propre a une 
entite mise en jeu, 

- une instruction d'appel (DC ALL) et une 
instruction de retour (DRET) du jeu d ' instructions pour 

15 mettre a jour, instantanement et automatiquement le 
registre (R) lors de 1 1 intervention d'une nouvelle 
entite , 

- un dispositif de controle (220) pour controler en 
fonction des bits de controle le caractere autorise de 

20 l'acces a des zones de la memoire de la carte a puce 
par la nouvelle entite appelee ou intervenant dans la 
carte a puce , 

- une premiere liaison (230) pour transmettre les 
bits de controle du microprocesseur (2 00) vers le 

25 dispositif de controle (220) • 

2. Dispositif d'acces a des applications d'une 
carte a puce selon la revendication 1, caracterise en 
ce qu'il comprend un second registre (CS) pour 
memoriser un code propre aux applications actives au 

30 moment de la derniere instruction d'appel (DCALL) 
emise . 

3. Dispositif d'acces a des applications d'une 
carte a puce selon l'une des revendications l ou 2 , 
caracterise en ce que 1 ' entite appelee ou intervenant 
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dans la carte a puce est une application (211) de la 
batterie d * applications . 

4. Dispositif selon I'une des revendications 1 ou 
2, caracterise en ce que 1 1 entite est un evenement 

5 materiel, de maniere que le registre (R) est mis a jour 
par cet evenement materiel. 

5. Dispositif selon la revendication 4, 
caracterise en ce que 1" evenement materiel est realise 
par une logique cablee ou autre moyen materiel de 

10 maniere a pouvoir inscrire dans le registre (R) 
l 1 entite propre a cet evenement sans 1 1 utilisation de 
1 1 instruction d'appel (DCALL) . 

6. Carte a puce a applications multiples (100) 
caracterisee en ce quelle comporte un dispositif 

15 d'acces a des applications selon I'une quelconque des 
revendications 1 a 5 ♦ 

7. Carte a puce selon la revendication 6, 
caracterisee en ce qu'elle comprend au moins une 
application principale (122, 124, 126) ecrite dans un 

20 langage de programmation directement comprehensible par 
le processeur de la carte a puce et au moins une 
application supplementaire (121, 123, 125) codee en 
langage standardise comprehensible par le processeur de 
la carte au moyen d'un interpreteur . 
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